張積慧

摘 要:計算機(jī)與互聯(lián)網(wǎng)技術(shù)的興起,改變了每一個人的工作狀態(tài)。互聯(lián)網(wǎng)因其開放性、交互性,很容易導(dǎo)致泄密?？萍计笫聵I(yè)單位如何做好信息安全工作呢?首先以開放、積極防御方式狠抓用戶管理、行為管理、內(nèi)部控制管理,第二,完善應(yīng)急響應(yīng)體系的建設(shè),第三,加大宣傳、明確單位信息安全責(zé)任人;第四;科學(xué)安全設(shè)置和保管密碼等等。論述了個人如何做好信息安全工作。

關(guān)鍵詞:信息安全;互聯(lián)網(wǎng)與計算機(jī);控制與管理

中圖分類號:TP393

文獻(xiàn)標(biāo)識碼:B

文章編號:1005-569X(2009)12-0022-03

1 引 言

21世紀(jì),以計算機(jī)和因特網(wǎng)技術(shù)為主的現(xiàn)代信息技術(shù)取得了突飛猛進(jìn)的發(fā)展,為全球各領(lǐng)域的工作帶來了深刻的變革。事實(shí)證明,信息與物質(zhì)、能源共同構(gòu)成了企業(yè)乃至國家生存的三大要素。隨著Internet/Intranet技術(shù)的興起,網(wǎng)絡(luò)已經(jīng)逐步成為一個開放的、互聯(lián)的“大”網(wǎng)。Internet技術(shù)可以說是一把雙刃劍,它為信息化建設(shè)、生產(chǎn)效率和服務(wù)質(zhì)量的提高帶來了極大的促進(jìn)作用,但是它也對傳統(tǒng)的安全體系提出了嚴(yán)峻的挑戰(zhàn)。由于計算機(jī)信息具有共享和易于擴(kuò)散等特性,它在處理、存儲、傳輸和使用上有著嚴(yán)重的脆弱性,即很容易被干擾、濫用和丟失,甚至被泄漏、竊取、篡改、冒充和破壞,還有可能受到計算機(jī)病毒的感染,所以對于網(wǎng)際網(wǎng)絡(luò)而言,構(gòu)筑信息網(wǎng)絡(luò)的安全防線事關(guān)重大、刻不容緩。

2 信息安全含義和涉及的內(nèi)容

信息安全是指信息網(wǎng)絡(luò)的硬件、軟件及其系統(tǒng)中的數(shù)據(jù)受到保護(hù),不因偶然的或者惡意的原因而遭到破壞、更改、泄露,系統(tǒng)連續(xù)可靠正常地運(yùn)行,使信息服務(wù)不中斷。

從廣義來說,凡是涉及到網(wǎng)絡(luò)上信息的保密性、完整性、可用性、真實(shí)性和可控性的相關(guān)技術(shù)和理論都屬于信息安全的研究領(lǐng)域。

信息安全涉及到信息的保密性(Confidentiality)、完整性(Integrity)、可用性(Availability)、可控性(Controllability)和不可否認(rèn)性(Non-Repudiation)。綜合起來說,就是要保障電子信息的有效性。保密性就是對抗對手的被動攻擊,保證信息不泄漏給未經(jīng)授權(quán)的人,完整性就是對抗對手主動攻擊,防止信息被未經(jīng)授權(quán)的人篡改,可用性就是保證信息及信息系統(tǒng)確實(shí)為授權(quán)使用者所用,可控性就是對信息及信息系統(tǒng)實(shí)施安全監(jiān)控。

3 信息安全的現(xiàn)狀

3.1 安全問題多由管理造成

信息安全是國家安全的重要組成部分,保障信息安全是一項(xiàng)關(guān)系全局的戰(zhàn)略任務(wù),具有極端的重要性、緊迫性、長期性和復(fù)雜性。隨著信息技術(shù)在經(jīng)濟(jì)社會活動中的應(yīng)用廣度和深度的不斷提升,對信息安全保障工作也提出了新的要求。長期以來,人們對保障信息安全的手段偏重于依靠技術(shù),從早期的加密技術(shù)、數(shù)據(jù)備份、防病毒發(fā)展到近期網(wǎng)絡(luò)環(huán)境下的防火墻、入侵檢測、身份認(rèn)證等等。廠商在安全技術(shù)和產(chǎn)品的研發(fā)上不遺余力,新的技術(shù)和產(chǎn)品不斷涌現(xiàn);消費(fèi)者也更加相信安全產(chǎn)品,把僅有的預(yù)算也都投入到安全產(chǎn)品的采購上。但事實(shí)上,僅僅依靠技術(shù)和產(chǎn)品保障信息安全的愿望卻往往難盡人意,許多復(fù)雜、多變的安全威脅和隱患靠產(chǎn)品是無法消除的?！叭旨夹g(shù),七分管理”這個在其他領(lǐng)域總結(jié)出來的實(shí)踐經(jīng)驗(yàn)和原則,在信息安全領(lǐng)域也同樣適用。據(jù)有關(guān)部門統(tǒng)計,在所有的計算機(jī)安全事件中,約有52%是人為因素造成的,25%由火災(zāi)、水災(zāi)等自然災(zāi)害引起,技術(shù)錯誤占10%,組織內(nèi)部人員作案占10%,僅有3%左右是由外部不法人員的攻擊造成。簡單歸類,屬于管理方面的原因比重高達(dá)70%以上, 而這些安全問題中的95%是可以通過科學(xué)的信息安全管理來避免。因此,管理已成為信息安全保障能力的重要基礎(chǔ)。

3.2 制定管理標(biāo)準(zhǔn),強(qiáng)化信息安全

各企事業(yè)單位一定要嚴(yán)格按照“誰主管誰負(fù)責(zé)、誰運(yùn)行誰負(fù)責(zé)、誰使用誰負(fù)責(zé)”的原則,進(jìn)一步嚴(yán)格網(wǎng)絡(luò)管理,建立健全各種安全制度,做好網(wǎng)絡(luò)的正常運(yùn)行。

(1)落實(shí)領(lǐng)導(dǎo)責(zé)任制,一把手親自抓,分管負(fù)責(zé)人具體抓,一級抓一級,層層抓落實(shí)。

(2)落實(shí)信息安全事故責(zé)任追究制度,各部門指定一個網(wǎng)絡(luò)人員對接入網(wǎng)絡(luò)的計算機(jī)設(shè)備進(jìn)行一次全面安全檢查,對存在的漏洞、防毒軟件配置不到位的計算機(jī)堅決斷掉網(wǎng)絡(luò)連接,待網(wǎng)絡(luò)技術(shù)人員處理好后方能使用,對發(fā)生重大安全責(zé)任事故的,要嚴(yán)肅追究相關(guān)人員的責(zé)任。

(3)建立24小時值班制度,對長期不間斷開機(jī)運(yùn)行條件的小型網(wǎng)絡(luò)機(jī)房,落實(shí)專人堅守24小時值班,負(fù)責(zé)檢查機(jī)房的供電系統(tǒng)、空調(diào)系統(tǒng)、防火系統(tǒng)、網(wǎng)絡(luò)邊境情況、服務(wù)器運(yùn)行情況、網(wǎng)絡(luò)設(shè)備運(yùn)行情況等進(jìn)行細(xì)致檢查,發(fā)現(xiàn)問題及時處理,消除安全隱患,確保信息系統(tǒng)的安全運(yùn)行;

(4)落實(shí)信息安全“五禁止”制度,禁止非涉密計算機(jī)上處理、存儲、傳遞涉密信息,禁止在國際互聯(lián)網(wǎng)上利用電子郵件系統(tǒng)傳遞涉密信息,禁止辦公內(nèi)網(wǎng)與互聯(lián)網(wǎng)相連,采取符合保密要求的邏輯隔離措施,禁止在各種論壇、聊天室、博客等發(fā)布、談?wù)搰颐孛苄畔?禁止利用QQ等聊天工具傳遞、談?wù)搰颐孛苄畔ⅰ?/p>

3.3 建立專門的保密工作小組

成立專門的保密工作小組,負(fù)責(zé)領(lǐng)導(dǎo)、指導(dǎo)和協(xié)調(diào)全所保密管理工作,并負(fù)責(zé)全單位計算機(jī)及信息網(wǎng)絡(luò)安全的保密管理,提供技術(shù)支持和保障。具體工作職責(zé)是:

(1)修訂完善相關(guān)計算機(jī)及信息網(wǎng)絡(luò)安全保密制度。

(2)對計算機(jī)網(wǎng)絡(luò)面臨的信息安全風(fēng)險、已有的信息安全防范措施開展有針對性的評估和判斷,并有效使用防火墻和入侵檢測設(shè)備,保障安全。

(3)定期對信息系統(tǒng)的賬戶、口令、軟件補(bǔ)丁等進(jìn)行清理檢查,及時更新和升級。

(4)嚴(yán)格按照信息安全“五禁止”規(guī)定,對計算機(jī)進(jìn)行定期檢查。

(5)進(jìn)一步完善信息安全應(yīng)急預(yù)案,明確應(yīng)急處置流程、臨機(jī)處置權(quán)限,強(qiáng)化技術(shù)支撐。

(6)開展應(yīng)急演練,檢驗(yàn)應(yīng)急預(yù)案的可操作性,保證相關(guān)人員熟悉應(yīng)急預(yù)案,提高應(yīng)急處置能力。

(7)負(fù)責(zé)計算機(jī)網(wǎng)絡(luò)安全的值班值守,重大事項(xiàng)要及時按規(guī)定上報。

(8)對沒有刻錄機(jī)的涉密部門,需要傳遞電子涉密文件時,由專門部門負(fù)責(zé)刻制。

4 確保信息安全的技術(shù)措施和手段

目前,信息安全問題面臨著前所未有的挑戰(zhàn),由于Internet本身的開放性,使信息系統(tǒng)面臨著各種各樣的安全威脅。針對當(dāng)前形勢,我們切實(shí)需要采取行之有效的技術(shù)措施和手段,確保信息安全。

(1)以開放、發(fā)展、積極防御的方式取代過去的以封堵、隔離、被動防御為主的方式,狠抓用戶管理、行為管理、內(nèi)容控制和應(yīng)用管理以及存儲管理,堅持“多層保護(hù),主動防護(hù)”的方針。

(2)進(jìn)一步完善應(yīng)急響應(yīng)管理體系的建設(shè),實(shí)現(xiàn)統(tǒng)一指揮和分工協(xié)作,全面提高預(yù)案制定水平和處理能力。 由“信息安全工作小組”,專門負(fù)責(zé)信息網(wǎng)絡(luò)方面安全保障、安全監(jiān)管、安全應(yīng)急和安全威懾方面的工作。對關(guān)鍵設(shè)施或系統(tǒng)制定好應(yīng)急預(yù)案,并定期更新和測試信息安全應(yīng)急預(yù)案。

(3)堅持“防內(nèi)為主,內(nèi)外兼防”的方針,通過各種會議、展板、專欄、等加大信息安全普法和守法宣傳力度,提高全單位人員信息安全意識,尤其是加強(qiáng)各部門人員的信息安全知識培訓(xùn)與教育,提高員工的信息安全自律水平。明確地指定信息安全工作的職責(zé),建議一把手作為信息安全工作責(zé)任人,形成縱向到底、橫向到邊的領(lǐng)導(dǎo)管理體制。

(4)科學(xué)安全設(shè)置和保管密碼,完善網(wǎng)絡(luò)安全技術(shù)。密碼安全可以說是網(wǎng)絡(luò)安全中最為重要的一環(huán)。一旦密碼被泄漏,非法用戶可以很輕易的進(jìn)入系統(tǒng)。由于窮舉軟件的流行,Root的密碼要求最少要10位,一般用戶的密碼要求最少要8位,并且應(yīng)該有英文字母大小寫以及數(shù)字和其他符號進(jìn)行不規(guī)則的設(shè)置。同時不要選取如生日、名字等熟悉的信息作為密碼。思想意識松懈造成的系統(tǒng)隱患要遠(yuǎn)大于系統(tǒng)自身的漏洞,將不知是否有病毒的軟盤隨意的插入計算機(jī)中、不當(dāng)?shù)脑O(shè)置密碼、將密碼寫下來或存入計算機(jī)的文件中、長期不改密碼、隨意的從網(wǎng)上下載不明文件或內(nèi)部合法用戶本身的非法活動等都給信息網(wǎng)絡(luò)帶來最大的威脅。

(5)設(shè)立信息安全管理專項(xiàng)基金,提高信息安全綜合管理平臺、管理工具、網(wǎng)絡(luò)取證、事故恢復(fù)等關(guān)鍵技術(shù)的研究能力與工作水平。

(6)重視和加強(qiáng)信息安全等級保護(hù)工作,對重要信息安全產(chǎn)品實(shí)行強(qiáng)制性認(rèn)證,必須通過政府采購,購買通過認(rèn)證的信息安全產(chǎn)品。

(7)加強(qiáng)信息安全管理人才的建設(shè)工作,特別是加大既懂技術(shù)又懂管理的復(fù)合型人才的培養(yǎng)力度。

(8)加大合作力度,尤其在標(biāo)準(zhǔn)、技術(shù)以及應(yīng)急響應(yīng)等方面的交流、協(xié)作與配合。

5 個人如何做好信息安全工作

安全本身不是目的,它只是一種保障。不管是從技術(shù)角度,還是從實(shí)際意義角度,信息安全涉及的范圍非常寬廣。個人信息安全是獸醫(yī)藥品監(jiān)察所信息安全的基石,也是針對未來的信息戰(zhàn)來加強(qiáng)自身建設(shè)的重要基礎(chǔ)。因此,制定嚴(yán)格完備的安全保障制度是實(shí)現(xiàn)信息安全的前提,采用高水平的信息安全防護(hù)技術(shù)是保證,認(rèn)真地管理落實(shí)是關(guān)鍵。

5.1 不得利用計算機(jī)信息系統(tǒng)從事下列行為

(1)制作、復(fù)制、查閱、傳播有害信息;

(2)侵犯他人隱私,竊取他人帳號,假冒他人名義發(fā)送信息,或者向他人發(fā)送垃圾信息;

(3)以盈利或者非正常使用為目的,未經(jīng)允許向第三方公開他人電子郵箱地址;

(4)未經(jīng)允許修改、刪除、增加、破壞計算機(jī)信息系統(tǒng)的功能、程序及數(shù)據(jù);

(5)危害計算機(jī)信息系統(tǒng)安全的其他行為。

5.2 對使用的計算行使保護(hù)責(zé)任

應(yīng)當(dāng)對其所有、使用和管理的計算機(jī)信息系統(tǒng)承擔(dān)相關(guān)的安全保護(hù)責(zé)任,增強(qiáng)安全防范意識,落實(shí)防計算機(jī)病毒、防網(wǎng)絡(luò)入侵等安全措施。

5.3 發(fā)現(xiàn)問題及時報告

發(fā)現(xiàn)利用計算機(jī)信息系統(tǒng)進(jìn)行的違法犯罪行為及時向所在地公安網(wǎng)監(jiān)部門報告。

6 結(jié) 語

安全是一個廣泛的主題,它涉及到許多不同的區(qū)域(物理、網(wǎng)絡(luò)、系統(tǒng)、應(yīng)用、管理等),每個區(qū)域都有其相關(guān)的風(fēng)險、威脅及需要解決方法。僅僅依賴于安全產(chǎn)品的堆積來應(yīng)對迅速發(fā)展變化的各種攻擊手段是不能持續(xù)有效的。

信息安全建設(shè)是一項(xiàng)復(fù)雜的系統(tǒng)工程,要從觀念上進(jìn)行轉(zhuǎn)變,規(guī)劃、管理、技術(shù)等多種因素相結(jié)合,使之成為一個可持續(xù)的動態(tài)發(fā)展的過程。絕對的信息安全是不存在的,信息安全問題的解決只能通過一系列的規(guī)劃和措施,把風(fēng)險降低到可被接受的程度,同時采取適當(dāng)?shù)臋C(jī)制使風(fēng)險保持在此程度之內(nèi)。當(dāng)信息系統(tǒng)發(fā)生變化時應(yīng)當(dāng)重新規(guī)劃和實(shí)施來適應(yīng)新的安全需求。